Разработка системы параметров оценки рисков нарушения информационной безопасности организаций Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

А.С. Поморцев, С.Н. Новиков

Разработка системы параметров оценки рисков нарушения информационной безопасности организаций

Представлено решение проблемы оценки рисков нарушения информационной безопасности (ИБ) коммерческих организаций на основе нормативно-технических требований действующих стандартов и рекомендаций в области ИБ. Проведён обзор рынка программных продуктов по автоматизации оценки рисков, результаты которого указывают на необходимость разработки нового программного продукта, учитывающего чётко сформулированный перечень параметров оценки рисков нарушения ИБ.

Ключевые слова: информационная безопасность, оценка рисков.

На данный момент существует множество программных продуктов для оценки различных рисков организации. В этой связи возникает актуальная задача анализа возможностей данных программных продуктов применительно к современным требованиям обеспечения ИБ и оценки рисков её нарушения. В случае необходимости нужно разработать систему параметров оценки рисков нарушения ИБ организации.

Обзор рынка программных продуктов для оценки рисков. Из всего многообразия программных продуктов для оценки рисков активов организаций, которые представлены на отечественном рынке, можно выделить следующие:

- «Гриф 2006» [1] разработан с использованием международных стандартов ISO 17799-2000, ISO 17799-2005 и ISO 27001-2005;

- комплексная экспертная система управления информационной безопасностью «АванГард» [2] сочетает в себе положения ISO 15408-2002, ISO 17799, ISO 27001-2005, а также выборочные требования СТО БР ИББС-1.10-2007.

Многие из перечисленных стандартов на данный момент устарели или имеют новые версии. Поэтому использование основанных на них программных продуктов нецелесообразно.

Международные разработки (OCTAVE [3], CRAMM [4], RiskWatch [5], COBRA [6], «RA2 the art of risk» [7] и др.) редко используются отечественными организациями из-за:

- трудностей, связанных с русификацией интерфейса;

- отсутствия техподдержки на территории РФ;

- высоких требований к квалификации эксперта.

Перечисленные программные продукты предназначены для общей оценки рисков различных активов, а не для оценки рисков нарушения ИБ организаций.

Таким образом, актуальной задачей является разработка нового программного продукта для оценки рисков нарушения ИБ организаций.

Анализ нормативно-технической документации. В разрабатываемом программном продукте фундаментом для получения оценки являются параметры, по которым производится анализ состояния ИБ организации. В стандартах и нормативных документах, регламентирующих сферу ИБ в РФ, нет конкретного перечня параметров для проведения оценки. Поэтому первым этапом в создании нового программного продукта является формирование перечня параметров оценки рисков нарушения ИБ организаций.

Для формирования данного перечня проведён анализ международных, российских стандартов и рекомендаций [8-20]. Выбор документов осуществлялся на основе их актуальности и востребованности специалистами в области ИБ.

Проведенный анализ данных документов (с позиций обеспечения ИБ организаций) позволил сделать следующие выводы:

1) стандарты [8-17] носят общий, рекомендательный характер;

2) наибольшей практической значимостью обладают стандарты Банка России [18-20];

3) все стандарты и рекомендации, с учетом их характерных особенностей и практической значимости, можно разделить на три группы (табл. 1).

Таблица 1

_Результаты анализа стандартов_

Группа Наименование стандартов/рекомендаций Характерные особенности

Первая ГОСТ Р ИСО/МЭК 17799-2005 ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13335-5-2006 ГОСТ Р 52448-2005 Рекомендация МСЭ-Т Х.805-2003 - Поверхностное рассмотрение основных аспектов ИБ; - низкая практическая ценность; - отсутствие конкретных требований ИБ; - носят общий, рекомендательный характер

Вторая КОЛЕС 27001-2006 КОЛЕС 27002-2007 КОЛЕС 27005-2008 ГОСТ Р ИСО/МЭК 13569-2007 ГОСТ Р ИСО/МЭК 15408-2008 - Хорошо структурированное представление информации; - сформирована чёткая концепция ИБ; - начинают выделяться конкретные требования и рекомендации для практического применения

Третья СТО БР ИББС-1.0-2010 СТО БР ИББС-1.2-2010 РС БР ИББС-2.2-2009 - Высокая практическая ценность; - список конкретных требований и параметров для обеспечения ИБ; - наличие методики количественной оценки параметров ИБ

В результате проведенного анализа нормативно-технической документации в качестве базового стандарта для выбора параметров оценки рисков нарушения ИБ организаций был выбран СТО БР ИББС-1.0-2010.

Анализ и выбор параметров оценки рисков нарушения ИБ. Результаты сопоставительного анализа стандартов [8-17] с СТО БР ИББС-1.0-2010 сведены в табл. 2. Условные обозначения к табл. 2:

да - групповой параметр освещён стандартом в полной мере; |-но групповой параметр освещён стандартом частично;

нет | - групповой параметр в стандарте не рассматривается.

Таблица 2

Результаты сравнения стандартов с базовым стандартом

3 рч

а о % *

1

М1

М2

М3

М4

М5

М6

М7

М8

М9

М10

М11

М12

М13

М14

М15

о Й

« а

о §

а &

а

£

N1

нет

N2

N3

N4

N5

нет

нет

N6

нет

N7

N8

N9

N10

N11

5 0 0

2

-

9 9 7 7

да

нет

1-но

да

-но

нет

нет

нет

-но

нет

-но

нет

нет

-но

6 0 0 2

-1 01

0 7 2

нет

нет

нет

нет

нет

нет

нет

нет

нет

нет

нет

нет

нет

-но

5 0 0

2

-

8 4

4 2

5

нет

нет

нет

нет

нет

нет

нет

нет

да

да

нет

-но

да

нет

нет

Стандарт/рекомендация

7 0 0

2

-

5 0 0 7 2

ет

ет

ет

ет

ет

ет

ет

ет

ет

ет

ет

да

да

2

5

4

5

6

11_

но

о

о

о

Продолжение табл. 1

В стандарте банка России [19] определено 34 групповых параметра, каждый из которых включает в себя от 4 до 32 показателей ИБ (М1-М34). В итоговом списке параметров оценки рисков нарушения ИБ:

- групповые параметры М2, М7, М8, М10 не включены, так как они носят банковскую специфику;

- групповые параметры М28-М34 объединены в параметр N24, так как все они ориентированы на оценку деятельности руководства организации;

- добавлен параметр, регламентирующий физическую безопасность предприятия (N25), так как он отсутствует в СТО БР ИББС-1.0-2010.

Таким образом, итоговый список параметров оценки рисков нарушения ИБ включает в себя 25 групповых параметров, представленных в табл. 3.

Таблица 3

Параметры оценки рисков нарушения ИБ

№ параметра Наименование параметра

1 2

N1 Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу

N2 Обеспечение ИБ при управлении доступом и регистрации

N3 Обеспечение ИБ средствами антивирусной защиты

N4 Обеспечение ИБ при использовании ресурсов сети Интернет

N5 Обеспечение ИБ при использовании средств криптографической защиты информации

N6 Общие требования по обработке персональных данных в организации

N7 Организация и функционирование службы ИБ организации

N8 Определение/коррекция области действия системы обеспечения ИБ

N9 Выбор/коррекция подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ

N10 Разработка планов обработки рисков нарушения ИБ

N11 Определение/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ

N12 Принятие руководством организации решений о реализации и эксплуатации системы обеспечения ИБ

N13 Организация реализации планов внедрения системы обеспечения ИБ

N14 Разработка и организация реализации программ по обучению и повышению осведомлённости в области ИБ

N15 Организация реагирования на инциденты безопасности

N16 Организация обеспечения непрерывности бизнеса и его восстановления после прерываний

Продолжение табл. 4

1 2

N17 Мониторинг и контроль защитных мер

N18 Проведение самооценки ИБ

N19 Проведение аудита ИБ

N20 Анализ функционирования системы обеспечения ИБ

N21 Анализ системы обеспечения ИБ со стороны руководства организации

N22 Принятие решений по тактическим улучшениям системы обеспечения ИБ

N23 Принятие решений по стратегическим улучшениям системы обеспечения ИБ

N24 Оценка деятельности руководства организации

N25 Физическая безопасность

Заключение. В данный момент ведётся разработка программного продукта, который будет обладать следующими особенностями:

- автоматизация процедуры оценки рисков;

- оценка должна проводиться на основе сформированного перечня параметров (см. табл. 3);

- низкие требования к квалификации эксперта;

- представление итоговой оценки в наглядной форме;

- возможность лёгкой адаптации к требованиям новых или обновлённых нормативных документов по ИБ;

- формирование по результатам работы программы списка рекомендаций по улучшению системы обеспечения ИБ организации.

Обладая перечисленными особенностями, новый программный продукт позволит наиболее эффективно проводить оценку рисков нарушения ИБ организаций.

Литература

1. Современные методы и средства анализа и управление рисками информационных систем компаний [Электронный ресурс]. - Режим доступа http://dsec.ru/ipm-research-center/article/mo-dern_methods_and_means_for_analysis_and_risk_management_of_information_systems_of_companies/, свободный (дата обращения: 09.04.2014).

2. Бурдин О.А., Кононов А.А. Комплексная экспертная система управления информационной безопасностью «АванГард» [Электронный ресурс]. - Режим доступа http://emag.iis.ru/arc/infosoc/ emag.nsf/BPA/5b998f309fa7de60c3256d5700403137, свободный (дата обращения: 09.04.2014).

3. OCTAVE [Электронный ресурс]. - Режим доступа http://www.cert.org/octave/, свободный (дата обращения: 09.04.2014).

4. CRAMM [Электронный ресурс]. - Режим доступа http://www.cramm.com/downloads/data-sheets.htm, свободный (дата обращения: 09.04.2013).

5. Information Systems (ISO 27001 & NIST 800-53) [Электронный ресурс]. - Режим доступа http://www.riskwatch.com/, свободный (дата обращения: 09.04.2014).

6. Security Risk Analysis & Assessment, and ISO 27000 Compliance [Электронный ресурс]. - Режим доступа http://www.riskworld.net/, свободный (дата обращения: 09.04.2014).

7. RA2 art of risk [Электронный ресурс]. - Режим доступа http://xn—7sbab7afcqes2bn.xn--p1ai/content/ra2-art-risk, свободный (дата обращения: 09.04.2014).

8. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. - М.: Стандартинформ, 2006. - 56 с.

9. Международный стандарт ISO/IEC 27001-2005. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования. - М.: Технорматив, 2006. - 54 с.

10. Международный стандарт ISO/IEC 27002-2007. Информационные технологии. Свод правил по управлению защитой информации. - М.: Технорматив, 2007. - 171 с.

11. Международный стандарт ISO/IEC 27005-2008. Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности. - ISO/IEC 2008. - 70 с.

12. ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи. -М.: Стандартинформ, 2006. - 20 с.

13. ГОСТ Р ИСО/МЭК 15408-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - М.: Стан-дартинформ, 2006. - 41 с.

14. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Ч. 1: Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. - М.: Стандартинформ, 2007. - 19 с.

15. ГОСТ Р ИСО/МЭК ТО 13335-5-2006. Информационная технология. Методы и средства обеспечения безопасности. Ч. 5: Руководство по менеджменту безопасности сети. - М.: Стан-дартинформ, 2007. - 27 с.

16. ГОСТ Р ИСО/МЭК 13569-2007. Финансовые услуги. Рекомендации по информационной безопасности. - М., 2007. - 86 с.

17. Рекомендация МСЭ-Т Х.805. Безопасность. Архитектура безопасности для систем, обеспечивающих связь между оконечными устройствами. - Швейцария, Женева, 2004. - 21 с.

18. Стандарт Банка России. СТО БР ИББС-1.0-2010. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения. - М., 2010. - 42 с.

19. Стандарт Банка России. СТО БР ИББС-1.2-2010. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0.2010. - М., 2010. - 74 с.

20. Рекомендация в области стандартизации Банка России. РС БР ИББС-2.2-2009. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности. - М., 2009. - 23 с.

Поморцев Антон Сергеевич

Аспирант каф. безопасности и управления в телекоммуникациях

Сибирского государственного университета телекоммуникаций и информатики (СибГУТИ), Новосибирск

Тел.: +7 (383) 2-69-82-45

Эл. почта: [email protected]

Новиков Сергей Николаевич

Канд. техн. наук, доцент, зав. каф. безопасности и управления в телекоммуникациях СибГУТИ Тел.: +7 (383) 2-69-82-45 Эл. почта: [email protected]

Pomortsev A.S., Novikov S.N.

Develop a system for risk assessment of information security violations organizations

The paper presents a solution to the problem of risk assessment security breach commercial organizations on the basis of legal and technical requirements of existing standards and recommendations in the field of information security. A review of the market of software products for automating the risk assessment, the results of which indicate the need to develop a new software product, taking into account the clearly formulated list of parameters of risk assessment information security violations is considered. Keywords: information security, risk assessment.